Беспроводная сеть настройка radius asus что это
Перейти к содержимому

Беспроводная сеть настройка radius asus что это

  • автор:

[Управление доступом] Как настроить RADIUS Server для серии BRT?

[Управление доступом] Как настроить RADIUS Server для серии BRT? Как настроить RADIUS Сервер – BRT серия 802.1X EAP аутентификация с помощью WPA обычно используется для аутентификации пользователей и клиентских устройств в современной бизнес-среде. BRT-AC828 поставляется со встроенным RADIUS-сервером, который позволяет быстро создать сеть аутентификации 802.1X для аутентификации беспроводного доступа или Captive Portal. Поскольку только разрешенные пользователи могут получить доступ к сети, сервер RADIUS просто добавляет дополнительный уровень безопасности к вашему сетевому доступу. Конфигурация RADIUS сервераСоздание пользовательского аккаунта: 1. Укажите http://router.asus.com в строке браузера. 2. На странице входа, укажите имя по умолчанию (admin) и пароль (admin) , затем нажмите OK. W eb GUI откроется после входа . 3. На панели навигации, перейдите в Общее> Управление доступом . 4. Нажмите на + (add) иконку, чтобы добавить аккаунт. 5. Заполните поля, и нажмите Применить. A.Имя пользователя: Укажите имя пользователя. B.Пароль: Укажите пароль для пользователя. Пользователь появится в таблице. Конфигурация настроек клиента RADIUS 1. Нажмите на вкладку RADIUS Сервер и включите RADIUS Сервер. 2. Нажмите + (add) иконку, чтобы добавить разрешение клиенту RADIUS. A.Укажите Имя и Пароль. B.Укажите IP адресс вашего роутера или точки доступа. Для устройств в локальной сети, пожалуйста укажите IP адрем роутера “192.168.1.1” в качестве RADIUS клиентского IP адреса. В противном случае, пожалуйста, укажите IP адрес “192.168.1.x , который принадлежит тому же LAN в качестве BRT роутера. 3. После того, как клиент RADIUS будет создан, нажмите Применить , чтобы сохранить настройки. Настройка беспроводной сети на ASUS роутере 1. Укажите http://router.asus.comили 192.168.1.1 в браузере.

  • Укажите новый IP адрес, если вы уже изменили адрес IP по умолчанию.
  • Если вы забыли новый IP адресс, вы можете восстановить его с помощью инструмента “Device Discovery”.

2. На странице входа, укажите имя пользователя (admin) и пароль (admin) , нажмите OK. Вы увидите W eb GUI.

3. На странице навигации, перейдите в Дополнительные настройки> Wireless страница.

4. Настройте параметры беспроводной сети, и нажмите Применить.

Band: Укажите диапозон сети.

Authentication method: Выберите WPA2-Enterprise или WPA-Auto-Enterprise.

Serve IP address:Укажите IP адрес для сервера RADIUS, например: 192.168.1.1.

n IP адрес сервера RADIUS точно такой же как IP адрес входа.

Connection Secret: Укажите пароль RADIUS клиента в Connection Secret поле, чтобы разрешить клиенту RADIUS получать информацию о вашем аккаунте.

Подключение к 802.1X сети

1. Из windows , кликните правой кнопкой мыши по иконке, затем нажмите Открыть Сети и Центр обмена.

2. Нажмите Настроить, чтобы настроить новую сеть или подключение

3. Нажмите Вручную подключаться к беспроводной сети, и нажмите Далее.

4. Настройте беспроводную сеть как указано ниже, и нажмите Далее.

  • Имя сети: Укажите SSID. Укажите “ASUS_BRT828” например.
  • Тип безопасности: Выберите WPA2-Enterprise.
  • Подключаться автоматически: Снимите галочку с этого пункта

5. Нажмите Изменить настройки подключения.

6.Нажмите Безопасность и затем Настройки.

7. Снимите галочку с Проверьте идентификацию сервера, подтвердив сертификат, и нажмите Настроить

.

8. Снимите галочку с Автоматически использовать Windows логин и пароль, и нажмите OK.

9.Нажмите OK чтобы закрыть окно защищенных параметров ЕАР

10.Нажмите Дополнительные настройки из вкладки Безопасность.

11.Проверьте Указать способ проверки подлинности, выберите Пользовательская аутентификация в выпадающем списке и нажмите Сохранить учетные данные.

12. Укажите имя пользователя и пароль, нажмите OK.

13. Нажмите OK во вкладке Безопасность, чтобы сохранить настройки.

14. Нажмите Закрыть, чтобы выйти из настроек.

15. Нажмите на иконку сети в трее. Выберите сеть, которую только что настроили, и нажмите Подключиться.

16. Когда все будет готово, вы увидите Подключено рядом с SSID.

17. Нажмите Свойства ниже SSID , чтобы увидеть информацию о беспроводной сети.

18. Информация о беспроводной сети отобразится в нижней части панели. Теперь вы можете видеть, что вы подключены к сети WPA2-Enterprise.

Как улучшить работу Wi-Fi на примере роутеров ASUS

Что делать, когда подсветка всех делений индикатора WiFi смартфона, планшета или ноутбука указывает на максимально возможный уровень сигнала, а интернет или домашняя WiFi-сеть при этом работает медленно?

Чтобы понять, почему так происходит, обратимся к теории. В сетях Wi-Fi для передачи данных используются диапазоны частот 2.4 ГГц и 5 ГГц. Для диапазона 2.4 ГГц частоты варьируются от 2400 до 2483,5 МГц, а для 5-гигагерцового диапазона — от 4800 до 5905 МГц. Диапазоны разделены на каналы шириной 20, 40 или 80 МГц, в зависимости от стандарта. Если ваш роутер и роутер соседа работают в одном и том же или в соседних каналах, то скорость соединения падает из-за взаимных помех.

Если беспроводная сеть работает медленно, стоит поменять Wi-Fi канал. Зайдите в настройки беспроводной сети роутера и измените номер канала. В роутерах ASUS это выглядит так:

Web интерфейc ASUS

Если смена канала не помогла, измените ширину канала. Вместо автоматического выбора 20/40 МГц установите 40 МГц. Если скорость работы WiFi-сети не нормализовалась, выберите 20 МГц.

Старые роутеры, работающие в диапазоне 2.4 ГГц, предлагают не так много каналов. При хронической загруженности этих каналов придется менять роутер.

Помните, что по умолчанию роутеры настроены на автоматическое определение режима Wi-Fi и «общаются» со всеми клиентскими устройствами, использующими все, в том числе устаревшие, стандарты Wi-Fi. Если в вашей домашней сети или поблизости присутствуют работающие в устаревших стандартах Wi-Fi 802.11 a/b/g устройства, то скорость сети снижается. Для устранения этого неприятного явления переключите роутер в фиксированный режим N или N/AC. Таким образом вы заставите роутер работать только в новых высокоскоростных стандартах. Но придётся избавиться от устройства 802.11 a/b/g или приобрести для него новый WiFi-адаптер с поддержкой стандарта N или AC, т.к. после изменения режима работы роутера устаревшее устройство к нему уже не подключится.

Рассмотрим 4 модели маршрутизаторов и характеристики, влияющие на качество приема и скорость передачи данных.

Метод грубой силы

Очевидный способ победить соседские роутеры, микроволновые печи и прочее оборудование, создающее помехи для беспроводных сетей, — это использовать роутер с коэффициентом усиления антенн выше 5 dbi. Таких моделей выпускается не много. Выбирайте ASUS RT-N12HP.

Маршрутизатор ASUS RT-N12HP Wireless-N300 High Performance Router (RTL) (4UTP 10 / 100Mbps, 1WAN, 802.11b / g / n, 300Mbps, 2x9dBi)

RT-N12HP по своей аппаратной и программной начинке аналогичен популярнейший модели ASUS RT-N12. Главное отличие модели с суффиксом «HP» — антенны с коэффициентом усиления 9 dBi? обеспечивающие более качественный сигнал. Поэтому помехи от соседских роутеров пренебрежимо малы по сравнению с уровнем сигнала «рогастика» ASUS RT-N12HP. Благодаря использованию последним диапазона 2.4 ГГц замена маршрутизатора на ASUS RT-N12HP не требует изменения инфраструктуры существующей сети Wi-Fi. Устройства, которые вы использовали ранее, заработают и с новым маршрутизатором.

Антенны с высоким коэффициентом усиления 9 dBi, работающие в диапазоне 2.4 ГГц, увеличивают радиус действия маршрутизатора в 1.5 раза по сравнению с типичным маршрутизатором 802.11n, поэтому ASUS RT-N12HP подойдет для частного дома.

Главный недостаток приведенного решения — возможные помехи для сетей соседей. Если соседи купят такие же роутеры, то ситуация усугубится, и, несмотря на высокий уровень сигнала, WiFi-сеть не ускорится.

Двойные стандарты

Диапазон 2.4 ГГц используется давно, поэтому три четверти точек доступа в домах и общественных местах работает в этом диапазоне. Т.к. каналов в диапазоне 2.4 ГГц чуть больше десятка, при плотном расположении WiFi-сетей только смена канала может не решить проблему помех и недостаточной скорости работы сети.

2.4 GHz

Решением в таком случае станет переход в диапазон 5 ГГц. Этот диапазон относительно «молод», а 5-гигагерцовые устройства еще пару лет назад стоили дорого, что сдерживало распространение сетей этого диапазона. При этом каналов в диапазоне 5 ГГц больше, чем в 2,4-гигагерцовом, следовательно, больше сетей могут работать одновременно, не мешая друг другу.

5 GHz

Меньшая занятость по сравнению с 2.4 ГГц — не единственное преимущество 5 ГГц диапазона. Любой беспроводной стандарт связи подразумевает повышенный относительно проводных соединений объем служебного технического трафика, который тоже занимает канал.

С увеличением количества эфирных помех и преград между роутером и клиентом увеличивается доля технического трафика, необходимого для корректной доставки данных. Поэтому скорость передачи пользовательских данных через Wi-Fi ниже номинальной скорости соединения, указанной в характеристиках устройства и в свойствах текущего соединения.

В N-стандарте эффективная скорость не превышает 50% от скорости канала. При номинальной скорости соединения между роутером и клиентом 300 Мбит/сек скорость передачи данных — не более 150 Мбит/сек, т.е. 18-19 Мбайт/сек.

AC-стандарт, использующий только диапазон 5 ГГц, характеризуется повышенными номинальными канальными скоростями и использует кодирование данных, повышающее при благоприятных условиях эффективную скорость до 60-70% от канальной.

Радиус охвата сетей 5 ГГц меньше, чем у сетей 2,4 ГГц. Кроме того, 5-гигагерцовый сигнал хуже 2,4-гигагерцового огибает препятствия. Назвать два указанных свойства недостатками нельзя, так как помех от соседних роутеров и точек доступа, если таковые окажутся вблизи от вашего 5-гегагерцового маршрутизатора, меньше, чем при работе в диапазоне 2,4 ГГц. Обратимся теперь к устройствам.

Маршрутизатор ASUS RT-AC51U Dual-Band Router (4UTP 10 / 100Mbps, WAN, 802.11a / b / g / n / ac, USB)

Компания ASUS — признанный лидер в сегменте высокопроизводительных WiFi-маршрутизаторов. ASUS давно предлагает 2-диапазонные устройства стандартов «N» и «N+AC». А в прошлом году компания представила недорогую 2-диапазонную модель RT-AC51U, уже успевшую стать хитом продаж благодаря цене менее 3000 рублей, поддержке диапазонов 2,4 и 5 ГГц, поддержке современных стандартов Wi-Fi 802.11n и 802.11ac и встроенному USB-порту. В диапазоне 2.4 ГГц роутер работает по стандарту 802.11n с пропускной способностью до 300 Мбит/с, а в диапазоне 5 ГГц – по стандарту 802.11ac с пропускной способностью до 433 Мбит/с. Скачивайте данные из файлообменных сетей, используя первый диапазон, и одновременно играйте, используя подключение во втором диапазоне. Для однодиапазонных роутеров такой сценарий невозможен.

Реализованы в ASUS RT-AC51U и технологии, увеличивающие охват беспроводной сети. Главная из них — технология формирования луча ASUS AiRadar. Интеллектуально определяя расположение подключенных устройств, RT-AC51U преобразует всенаправленный сигнал в усиленный направленный, что повышает скорость передачи данных.

Для построения домашней сети роутер оснащен четырьмя 100-мегабитными LAN-портами, к которым подключаются стационарные компьютеры, игровые консоли, IPTV-приставки и другое проводное оборудование.

К порту роутера USB 2.0 подключают 3G/4G-модем или, для предоставления общего доступа к подключенному устройству, принтер/МФУ/жёсткий диск/флешку. Благодаря поддержке технологии ASUS AiCloud маршрутизатор RT-AC51U с подключенным к нему внешним накопителем выполняет функции персонального облачного хранилища с доступом из любой точки мира.

Быстрее, чем по проводам

Если обеспечиваемой ASUS RT-AC51U пропускной способности беспроводной сети 733 Мбит/с недостаточно, присмотритесь к самому совершенному роутеру ASUS RT-AC88U.

Маршрутизатор ASUS RT-AC88U Dual-band Gigabit Router (RTL) (8UTP 10 / 100 / 1000Mbps, 1WAN, 802.11a / b / g / n / ac, USB2.0 / 3.0)

Пропускная способность Wi-Fi для роутера ASUS RT-AC88U достигает безумных 3167 Мбит/с. Однако доступна такая скорость передачи данных только при использовании поддерживающего технологию Broadcom NitroQAM клиентского оборудования. Для остальных адаптеров скорость скромнее, но все равно высока. При подключении по стандарту 802.11n она составляет 600 Мбит/с; при подключении по 802.11ac — 1734 Мбит/с, что в сумме дает 2334 Мбит/с.

Как и описанная выше младшая модель, ASUS RT-AC88U поддерживает преобразование AiRadar всенаправленного сигнала в усиленный направленный. 4 антенны и технология MU-MIMO вносят дополнительный вклад в уверенную работу беспроводной сети в многокомнатных квартирах. Подробнее о технологии MU-MIMO читайте по ссылке.

Мы рассказали о «протокольных» гигабитах. А какова практическая скорость передачи данных между высокоскоростным WiFi-роутером и адаптером AC-стандарта? Блиц-тестирование показало, что связка из роутера RT-AC88U и ноутбука с WiFi-адаптером AZWAVE AW-CE123H на чипе Broadcom BCM4352 с поддержкой стандарта AC-867 Мбит/сек дает установившуюся скорость 65-75 Мбайт/сек (520-600 МБит/сек).

Для организации проводного сегмента сети роутер RT-AC88U получил 8 гигабитных LAN-портов. Это не опечатка. У RT-AC88U восемь гигабитных портов, что редко встречается в устройствах для дома. ASUS RT-AC88U подходит и для компаний с несколькими десятками сотрудников.

Для увеличения скорости соединения по локальной сети с помощью агрегирования каналов Link Aggregation у RT-AC88U объединяются 1-й и 2-й порты Ethernet и создается высокоскоростной канал с пропускной способностью до 2 Гбит/с. Link Aggregation требует поддержки со стороны клиента.

Не забыта и технология Adaptive QoS. Выбирая один из предустановленных режимов, пользователь RT-AC88U задает приоритет использования сетевого соединения. Больше не нужно вручную приостанавливать закачку файлов из пиринговых сетей, чтобы отдать всю пропускную способность маршрутизатора 4K-стримингу или онлайн-игре.

Стоит отметить, что роутер RT-AC88U, как и некоторые другие старшие модели ASUS, поддерживает технологию ASUS AiProtection, представляющую собой встроенные в роутер антивирус, фаервол, веб-фильтр вредоносных интернет-сайтов и функцию «родительского контроля».

Т-50 среди роутеров

ASUS RT-AC5300 — самый производительный из доступных на рынке маршрутизаторов. Это трехдиапазонный роутер, представляющий собой 3 размещенных в общем корпусе устройства, 2 из которых работают в 5-гигагерцовом диапазоне, а третье — в 2.4-гигагерцовом. Суммарная пропускная способность достигает 4068 Мбит/с или, если клиенты поддерживают технологию Broadcom NitroQAM, 5334 Мбит/с. Для проводных клиентов предусмотрены четыре порта 1 Гбит/с.

Маршрутизатор ASUS RT-AC5300 Tri-band Gigabit Router (RTL) (4UTP 10 / 100 / 1000Mbps, 1WAN, 802.11a / b / g / n / ac, USB2.0 / 3.0)

Трехдиапазонный ASUS RT-AC5300 поддерживает все возможности модели ASUS RT-AC88U и, в добавление к ним, функции Airtime Fairness и Smart Connect.

Airtime Fairness решает проблемы сети, возникающие при подключении к роутеру беспроводного принтера или другого устройства через старые медленные стандарты Wi-Fi. При работе беспроводной сети данные передаются устройствам пакетами по очереди. Точки доступа и роутеры строят очередь исходя из объема данных. 1 килобайт передается первому устройству, 1 килобайт второму и так далее. Легко догадаться, что передача одного и того же объема информации через медленное соединение происходит дольше, чем через быстрое. Устройства с быстрыми Wi-Fi адаптерами в таких сетях работают сильно медленнее, чем могли бы. Роутер RT-AC5300 благодаря поддержке Airtime Fairness частично решает данную проблему, так как организует очередь не на основании объема передаваемых данных, а исходя из времени, необходимого для передачи. Таким образом быстрые клиенты за один цикл передачи данных успевают передать не один пакет, а несколько, и пропускная способность сети возрастает.

Smart Connect в автоматическом режиме подбирает наиболее подходящий для клиента диапазон частот, с целью предоставить максимальную скорость передачи данных.

Свойство RT-N12HP RT-AC51U RT-AC88U RT-AC5300
Коэфициент усиления антенн 9dBi 5 dBi Не указывается производителем 2.32 dBi (2.4 ГГц)
3.47 dBi (5 ГГц)
Частотный диапазон 2.4 ГГц Да Да Да Да
Частотный диапазон 5 ГГц №1 Нет Да Да Да
Частотный диапазон 5 ГГц №2 Нет Нет Нет Да
Технология ASUS AiRadar Нет Да Да Да
MIMO Нет Да Да, MU-MIMO Да, MU-MIMO
Smart Commect Нет Нет Нет Да
Airtime Fairness Нет Нет Нет Да
ASUSWRT

ASUS — главный мировой производитель материнских плат, видеокарт и ноутбуков. Сетевое оборудование ASUS менее распространено, но уже успело полюбиться пользователям, во многом благодаря операционной системе роутеров ASUSWRT. Интерфейс ASUSWRT интуитивно понятен и переведен на русский язык. Интерфейс роутеров ASUS, в отличие от интерфейсов устройств некоторых других производителей, одинаков для всех маршрутизаторов. Отличия в нём касаются только дополнительных функций, присутствующих в старших моделях. Максимальный функционал у ASUS RT-AC5300, поэтому его интерфейс максимально полный. Чтобы ознакомиться с этим интерфейсом, перейдите по ссылке.

При необходимости построения беспроводной сети в двух- или трехэтажном частном доме или другом строении, размеры и внутренние перекрытия которого не дают обойтись одним роутером, используйте репитеры. В модельном ряду ASUS несколько таких устройств, и самое интересное — RP-AC56. Этот двухдиапазонный усилитель Wi-Fi поддерживает технологию Roaming Assist, которая заставляет устройство автоматически подключаться к сети с самым сильным сигналом. Если вам придется перенести ноутбук из комнаты с репитером в расположенное ближе к роутеру помещение, то ноутбук автоматически переподключится к роутеру, и потери скорости соединения не произойдет.

Технология ASUS ExpressWay позволяет использовать один из диапазонов репитера RP-AC56 для соединения с роутером, а второй — для подключения клиентов. Используйте диапазон 2.4 ГГц, как более «дальнобойный», для подключения к общей сети, а к 5 ГГц подключайте ноутбуки, смартфоны и прочие устройства.

Советы по настройке беспроводного соединения
  1. Установите роутер так, чтобы на пути сигнала было как можно меньше стен, мебели и прочих препятствий.
  2. Избавьтесь от устаревших медленных клиентов в беспроводной сети, чтобы WiFi-адаптеры всех ваших устройств работали в одном стандарте. Или используйте поддерживающий Airtime Fairness роутер.
  3. Чтобы добиться максимальной полосы пропускания сети Wi-Fi стандарта 802.11n, используйте защиту WPA2 с алгоритмом шифрования AES. Стоит отметить, что маршрутизаторы ASUS при выборе одного из методов проверки подлинности WPA2 не позволяют использовать шифрование TKIP.
  4. Если эфир заполнен беспроводными сетями, поможет уменьшение ширины канала. В роутерах ASUS это делается так:

Подводя итог всему вышесказанному, тонкая настройка параметров недорогого роутера, работающего только в диапазоне 2.4 ГГц, может улучшить работу сети Wi-Fi при неблагоприятном окружении и забитом эфире, однако радикально улучшить ситуацию и повысить скорость работы сети можно только с переходом на 2-диапазонные роутеры с поддержкой 5 ГГц и новых высокоскоростных стандартов Wi-Fi. Достаточным для большинства современных домашних сценариев использования и клиентских устройств будет 2-диапазонный маршрутизатор среднего класса с поддержкой стандарта AC-867 Мбит/сек.

В тех же случаях, когда дома или в офисе требуется максимальная скорость одновременной работы большого количества современных клиентских устройств, стоит обратить внимание на высокопроизводительные 2- и 3-диапазонные WiFi-маршрутизаторы ASUS, такие как RT-AC88U, RT-AC3200 и RT-AC5300.

[Беспроводное устройство] Как настроить RADIUS?

[Беспроводное устройство] Как настроить RADIUS? Что такое настройка RADIUS? В этом разделе вы можете настроить дополнительные параметры для авторизации беспроводных клиентов через RADIUS-сервер. Это необходимо при выборе [Метод аутентификации] в [Беспроводное соединение]> [Общие] как «WPA-Enterprise / WPA2-Enterprise». Примечание: Корпоративный WPA / WPA2 доступен только на одном маршрутизаторе, недоступен в режиме AiMesh. Как настроить? Шаг 1. Подключите компьютер к роутеру ASUS через Wi-Fi или Ethernet-кабель. Шаг 2. Откройте веб-браузер и перейдите в веб-интерфейс ( http://router.asus.com ). Примечание: обратитесь по ссылке [Wireless Router] Как войти в интерфейс роутера(ASUSWRT) для ознакомления. Шаг 3: Введите имя пользователя и пароль для входа на страницу входа, а затем нажмите [Войти]. Примечание: Если вы забыли имя пользователя и / или пароль, восстановите маршрутизатор до заводского состояния по умолчанию. Пожалуйста, обратитесь к ссылке Как сбросить настройки роутера? Шаг 4: Перейдите в [Беспроводная сеть] >> [Общие] и выберите [WPA-Enterprise / WPA2-Enterprise] в опции [Метод аутентификации]. Примечание. [IP-адрес сервера], [Порт сервера] и [Секрет соединения] введите информацию о вашем сервере RADIUS. Шаг 5: Нажмите [Применить], чтобы изменить метод аутентификации. Шаг 6: Перейдите в [Беспроводная сеть] >> [Настройка RADIUS]. Шаг 7: Введите свой радиус [IP-адрес сервера], [Порт сервера] и [Секрет соединения]. Шаг 8: Нажмите [Применить], чтобы сохранить конфигурацию. Как скачать (Утилиты / ПО)? Вы можете загрузить последние версии драйверов, программного обеспечения, микропрограмм и руководств пользователя из ASUS Центра Загрузок. Узнать больше о Центре загрузок ASUS можно по ссылке.

Эта информация была полезной?

Что мы можем сделать, чтобы улучшить эту статью? Отправить Пропустить
Связаться со службой поддержки
Пожалуйста, свяжитесь со службой поддержки, если информация выше не помогла решить Ваш вопрос.
Получить поддержку

  • Приведенная выше информация может быть частично или полностью процитирована с внешних веб-сайтов или источников. Пожалуйста, обратитесь к информации на основе источника, который мы отметили. Пожалуйста, свяжитесь напрямую или спросите у источников, если есть какие-либо дополнительные вопросы, и обратите внимание, что ASUS не имеет отношения к данному контенту / услуге и не несет ответственности за него.
  • Эта информация может не подходить для всех продуктов из той же категории / серии. Некоторые снимки экрана и операции могут отличаться от версий программного обеспечения.
  • ASUS предоставляет вышеуказанную информацию только для справки. Если у вас есть какие-либо вопросы о содержании, пожалуйста, свяжитесь напрямую с поставщиком вышеуказанного продукта. Обратите внимание, что ASUS не несет ответственности за контент или услуги, предоставляемые вышеуказанным поставщиком продукта.

Продукты и информация

  • Ноутбуки
  • Сетевое оборудование
  • Материнские платы
  • Видеокарты
  • Смартфоны
  • Мониторы
  • Показать все продукты

    Item_other —>
  • Моноблоки (All-in-One)
  • Планшеты
  • Коммерческое сетевое оборудование
  • Серия ROG
  • AIoT и промышленные решения
  • Блоки питания
  • Проекторы
  • VivoWatch
  • Настольные ПК
  • Компактные ПК
  • Внешние накопители и оптические приводы
  • Звуковые карты
  • Игровое сетевое оборудование
  • Одноплатный компьютер
  • Корпуса
  • Компьютер-брелок
  • Наушники и гарнитуры
  • Охлаждение
  • Chrome-устройства
  • Коммерческие

    Commercial_list.Item —>
  • Моноблоки (All-in-One)
  • Информационные панели
  • Ноутбуки
  • Настольные ПК
  • Мониторы
  • Серверы и рабочие станции
  • Проекторы
  • Компактные ПК
  • Сетевое оборудование
  • Материнские платы
  • Игровые станции
  • Data Storage

Настройка WPA2 Enterprise c RADIUS

В статье пойдёт речь о вопросах расширенной аутентификации в беспроводной сети через WPA2 Enterprise. Для данной системы используется RADIUS сервер, поэтому рассмотрим краткий пример упрощённой установки и настройки.

О методах аутентификации

В предыдущих статьях, в частности: Особенности защиты беспроводных и проводных сетей. Часть 1 — Прямые меры защиты, — мы рассказывали о различных методах аутентификации.

Более или менее надёжным можно считать алгоритм защиты начиная с WPA2, а самый современный протокол аутентификации — WPA3, входящий в состав новшеств от WiFi 6. Но так как не все ещё перешли на WiFi 6, то WPA2 пока остаётся актуальным.

В свою очередь технология WPA2 подразделяется на два направления: WPA2 Personal и WPA2 Enterprise.

Вариант WPA2 Personal с PSK (Pre-Shared Key), проще говоря, «один-ключ-на все-устройства» используется в небольших (обычно в домашних сетях). При этом единственный ключ (длинная символьная строка не менее 8 символов) хранится на самой точке доступа и на каждом устройстве, подключаемом к беспроводной сети. Когда просят дать «пароль от WiFi», это тот самый ключ и есть.

При увеличении числа клиентов обслуживание такой беспроводной сети превращается в кошмар для сисадмина.

Если кто-то из пользователей со скандалом уволился, умудрился потерять ноутбук или случайно переслал ключ по почте (выложил общем чате, на форуме и так далее) .

В общем, при малейшем подозрении на компрометацию ключа выход может быть только один — сгенерировать новый ключ и заменить его везде: на всех точках доступа и у всех пользователей на всех устройствах. При этом нужно обязательно проверить работает ли доступ у всех пользователей на всех корпоративных (а иногда и личных) девайсах, а ещё ответить на 1000 и 1 вопрос из разряда: «А зачем?», «А почему так произошло?», «А что, теперь постоянно менять придётся?» и так далее и тому подобное.

Поэтому для беспроводных сетей корпоративного уровня используется гораздо более совершенный вариант WPA2 Enterprise. Наиболее очевидной альтернативой общему ключу является индивидуальный ключ для каждого. Разумеется, в этом случае при подключении к сети запрашивается не только ключ, но и имя пользователя. Фактически это возврат к аутентификации на основе логин + длинный пароль. (Спасибо Капитану Очевидность за точные формулировки).

Вопрос в том, где хранить базу пользователей и паролей. Размер встроенной аппаратной флеш-памяти не «резиновый», а если точек доступа несколько, то нужно подумать, как выполнять синхронизацию учётных данных между ними.

Гораздо проще использовать внешний сервер для аутентификации. WPA2 Enterprise использует для этих целей RADIUS.

RADIUS (Remote Authentication in Dial-In User Service) — сервис AAA (Authentication, Authorization, Accounting), основанный на использовании отдельного сервера, взаимодействующего с клиентами (оборудованием) по специальным протоколам.

На сегодняшний момент наиболее популярны следующие реализации:

  • Microsoft Network Policy Server (NPS), бывший IAS — для конфигурации используется встроенный инструментарий Microsoft. Соответственно, нужно купить необходимые лицензии.
  • Cisco Secure Access Control Server (ACS) 4.2, 5.3 — для администрирования использует веб-интерфейс, имеет широкий набор полезных функций. Это также платный продукт.
  • FreeRADIUS — распространяется бесплатно, может использоваться как в «чистом виде», так и вкупе с различными СУБД (MySQL и другие), имеются веб-интерфейсы (DaloRADIUS, Dual-In), в общем, довольно известное решение.

Существуют и другие реализации данного сервиса. Для настройки главное понять принцип взаимодействия с сервером аутентификации, всё остальное можно найти в документации.

Интересный факт. Аппаратные шлюзы и контроллеры точек доступа Zyxel уже имеют встроенный сервис RADIUS «на борту». А облачная среда Zyxel Nebula может похвастаться собственной системой аутентификации, отличной от RADIUS, но выполняющей те же функции. Поэтому самостоятельная установка внешнего сервера аутентификации — процесс интересный, но отнюдь не всегда обязательный. Есть и более простые варианты.

Взаимодействие точки доступа с сервером RADIUS

Для обмена данными с сервером RADIUS используется протокол UDP (User Datagram Protocol) по принципу «клиент-сервер». В роли клиента выступает точка доступа (или другое устройство, нуждающиеся в службе аутентификации), которая обращается к серверу RADIUS с запросами о проверке учётных записей.

В зависимости от настройки и схемы использования сервер RADIUS может сообщать клиенту не только информацию об успешной аутентификации, но и другие параметры: VLAN клиентского устройства, IP адрес, QoS профиль и так далее.

Для создания безопасного соединения клиент и сервер RADIUS обладают общим ключом.

В отказоустойчивой production схеме используется более одного сервера RADIUS. Например, точка доступа NWA210AX может использовать для проверки два сервера: основной и резервный.

Кратко рассмотрим порядок взаимодействия

Пользователь подключает устройство (корпоративный ноутбук или любое другое). Для этого он вызывает соответствующий интерфейс для настройки. Появляется окно подключения, где он вводит логин и пароль.

Точка доступа принимает эти данные и для проверки аутентификации передаёт на сервер RADIUS.

Сервер RADIUS по своим записям проверяет данного пользователя и его пароль, и, в зависимости от результата, возвращает одно из значений: «Accepted» (Принято) или «Rejected» (Отклонено).

При получении «Accepted» (Принято) между клиентом и точкой доступа происходит обмен индивидуальными ключами шифрования, действующими только на время, установленное для данной сессии.

Рисунок 1. Использование сервера RADIUS для аутентификации.

Вообще на тему установки RADIUS написано очень много How-to, в том числе интеграцией с различными СУБД, использованию веб-интерфейса и так далее.

Однако невозможно объять необъятное, поэтому сейчас остановимся на самой простой реализации: сервер FreeRADIUS без сторонних продуктов, который настраивается путём изменения конфигурационных файлов.

ВНИМАНИЕ! Ниже приводится именно простейший пример для иллюстрации, а не готовая шпаргалка для копирования и размножения у себя в рабочей среде.

Описание примера настройки и взаимодействия точки доступа с сервером RADIUS

Конфигурация сервера FreeRADIUS

Это виртуальная машина со следующими характеристиками: RAM 1GB, 1xCPU, виртуальный диск 20GB (можно меньше, лишь бы разместилась операционная система и необходимые пакеты).

В роли гипервизора — Oracle Virtual Box 6.1.18

В качестве гостевой операционной системы для экспериментов использовался дистрибутив Oracle Linux 6.3. В принципе, можно выбрать любой другой дистрибутив, если нет специальных ограничений.

FreeRADIUS — из стандартного репозитория.

Точка доступа

В качестве клиента (точки доступа) — используется модель Zyxel NWA210AX. Это современное устройство, поддерживающее интеграцию в облачной системе Zyxel Nebula и обладающее массой других достоинств.

Несмотря на то, что NWA210AX поддерживает новые протоколы безопасности WiFi 6 и может использовать сервис аутентификации Nebula, в нашем случае она прекрасно выступит в качестве устройства доступа в сети WPA 2 Enterprise.

Рисунок 2. Точка доступа NWA210AX.

Клиент для проверки подключения

В качестве платформы для проверки клиентского подключения — наиболее наглядно данный процесс отображается на последних версиях Mac OS X.

Установка и настройка сервера RADIUS

Перед установкой рекомендуется настроить файервольные правила, в частности, разрешить порты 1812, 1813, а также, если понадобиться, выполнить настройку SELinux. Нашей целью было показать взаимодействие с RADIUS, поэтому такие нюансы, как настройка сети, файервола, других средств безопасности выходят за рамки статьи и остаются за кадром. И мы сразу переходим к установке FreeRADIUS.

sudo install freeradius freeradius-utils -y

Обратите внимание, мы устанавливаем не только пакет freeradius, но и дополнительные инструменты freeradius-utils.

Из этого пакета нам понадобится утилита radclient для проверки пользователей.

После окончания установки настроим запуск сервиса при старте системы:

sudo systemctl enable radiusd

Для проверки запустим FreeRADIUS:

sudo systemctl start radiusd

Проверим его состояние:

sudo systemctl status radiusd

Пример ответа системы:

radiusd.service - FreeRADIUS high performance RADIUS server. Loaded: loaded (/usr/lib/systemd/system/radiusd.service; enabled; vendor preset: disabled) Active: active (running) since Thu 2021-02-04 13:36:11 EST; 7min ago Process: 953 ExecStart=/usr/sbin/radiusd -d /etc/raddb (code=exited, status=0/SUCCESS) Process: 872 ExecStartPre=/usr/sbin/radiusd -C (code=exited, status=0/SUCCESS) Process: 821 ExecStartPre=/bin/sh /etc/raddb/certs/bootstrap (code=exited, status=0/SUCCESS) Process: 810 ExecStartPre=/bin/chown -R radiusd.radiusd /var/run/radiusd (code=exited, status=0/SUCCESS) Main PID: 970 (radiusd) Tasks: 6 (limit: 12425) Memory: 82.9M CGroup: /system.slice/radiusd.service └─970 /usr/sbin/radiusd -d /etc/raddb Feb 04 13:36:10 localhost.localdomain systemd[1]: Starting FreeRADIUS high performance RADIUS server. Feb 04 13:36:10 localhost.localdomain sh[821]: server.pem: OK Feb 04 13:36:11 localhost.localdomain systemd[1]: Started FreeRADIUS high performance RADIUS server..

Дополнительно проверить можно командой:

sudo ps aux | grep radiusd

Ответ системы должен быть примерно таким:

root 7586 0.0 0.2 112716 2200 pts/1 R+ 01:28 0:00 grep --color=auto radiusd radiusd 13320 0.0 1.5 513536 15420 ? Ssl Dec23 0:00 /usr/sbin/radiusd -d /etc/raddb

Для настройки нам понадобится только два конфигурационных файла из каталога /etc/raddb:

ВНИМАНИЕ! Ещё раз повторяем — это всего лишь пример, помогающий понять механизм работы. Такой примитивный вариант, например, когда записи пользователей и ключи хранятся открытым текстом — в production лучше не использовать. Но именно для иллюстрации работы самого RADIUS — чем меньше и проще настраивать, тем лучше.

В файле /etc/raddb/clients настраивается доступ из конкретной сети и задаётся общий ключ для сервера RADIUS и клиентов, в нашем случае — точек доступа.

sudo vi /etc/raddb/clients

Находим подходящий пример записи:

#client private-network-2 < # ipaddr = 198.51.100.0/24 # secret = testing123-2 #>

и на его основе создаём свою запись:

client private-network-rpcm < ipaddr = 192.168.0.0/24 secret = testing123-3 >

Для примера используется самый простейший вариант «из коробки», и по умолчанию информация о пользователях хранится в файле /etc/raddb/users. Создадим двух пользователей: ivan и rodeon.

sudo vi /etc/raddb/users

Обратите внимание на следующее предупреждение в самом конце файла:

######################################################### # You should add test accounts to the TOP of this file! # # See the example user "bob" above. # #########################################################

Самый простой способ правильной вставки информации о пользователях — найти пользователя bob и добавить прямо под ним следующие строки:

ivan Cleartext-Password := "Pass1van" Reply-Message := "Hello, %" rodeon Cleartext-Password := "PassR0deon" Reply-Message := "Hello, %"

Перезапустим сервис radiusd, чтобы тот перечитал конфигурационные файлы:

sudo systemctl restart radiusd

Предварительная проверка заключается в том, чтобы сервис radiusd повторно в штатном режиме стартовал без сообщений об ошибках. Выше мы уже выполняли такую проверку (после установки FreeRADIUS) командой:

sudo systemctl status radiusd

После того, как убедились в стабильной работе сервиса, выполним проверку через команду radclient с передачей имени пользователя.

sudo echo «User-Name=ivan,User-Password=Pass1van» | radclient 192.168.0.104:1812 auth testing123-3

  • команда echo «User-Name= ivan,User-Password= Pass1van» передаёт имя пользователя и пароль;
  • 192.168.0.104:1812 — адрес сервера с портом UDP;
  • auth testing123-3 — указывается общий ключ testing123-3.

Если всё в порядке, ответ должен быть примерно таким:

Sent Access-Request Id 54 from 0.0.0.0:57939 to 192.168.0.104:1812 length 44 Received Access-Accept Id 54 from 192.168.0.104:1812 to 192.168.0.104:57939 length 33

Последняя и самая главная проверка: настроить на точке доступа NWA210AX подключение к данному серверу RADIUS и подключить выбранное клиентское устройство к WiFi сети.

Настройка подключения к RADIUS на точке доступа

Чтобы выполнить настройку, необходимо узнать адрес устройства. Для сетевого оборудования Zyxel это можно легко сделать при помощи сетевой утилиты ZON (Zyxel One Networking Utility). О ней можно подробнее узнать и бесплатно скачать на сайте Zyxel.

Рисунок 3. Утилита ZON (Zyxel One Networking Utility).

После того, как мы узнали IP, подключаемся через Интернет браузер.

Появляется первое окно с предложением сразу перейти к управлению через облачную среду Zyxel Nebula. Как уже было сказано выше, использовать «облако» проще, в отличие от автономной работы, в Nebula уже реализован аналог сервера аутентификации (и много чего другого, мониторинг, например). Но в данном случае используется автономная схема, поэтому выбираем режим — Standalone Mode.

Рисунок 4. Окно с предложением сразу перейти в облачную среду Nebula.

Далее идёт окно ввода имени пользователя и пароля. Пользователь по умолчанию — admin, пароль по умолчанию — 1234.

Рисунок 5. Окно ввода пользователя и пароля на NWA210AX.

Далее переходим в раздел Configuration —> AP Management. Нам необходимо настроить SSID профили.

В данном случае у нас два профиля: Wiz_SSID_1 и Wiz_SSID_2.

Для их настройки на соединение с RADIUS нужно задействовать элементы вызова окна редактирования (отмечено красным контуром на рисунке 6).

Рисунок 6. Раздел Configuration —> AP Management. Вызов окна редактирования SSID профиля.

Появится окно Edit SSID Profile Wiz_SSID_1.

В нём нас интересует переход к настройкам Security Profile (отмечено красным контуром на рисунке 7).

Рисунок 7. Окно Edit SSID Profile Wiz_SSID_1.

В появившемся окне Edit Security Profile Wiz_SEC_Profile_1 включаем опцию Primary Radius Server Activate и заполняем поля в соответствии с записями в файле /etc/raddb/clients нашего FreeRADIUS (отмечено красным контуром):

  • Radius Server IP Address,
  • Radius Server Port,
  • Radius Server Secret.

Если есть резервный сервер RADIUS, то необходимо включить Secondary Radius Server Activate и заполнить для него значения (отмечено синим подчёркиванием). У нас тестовая среда, но в production наличие резервного сервера аутентификации обязательно.

Рисунок 8. Окно Edit Security Profile Wiz_SEC_Profile_1.

Среди прочего присутствует вкладка Advance, в которой можно задать дополнительные значения. В данном случае у нас довольно простой пример, поэтому лучше оставить всё по умолчанию.

Рисунок 9. Окно Edit Security Profile Wiz_SEC_Profile_11 с раскрытой вкладкой Advance.

Проверка подключения

Как уже было сказано выше, более или менее точно процесс установки беспроводной связи иллюстрирует интерфейс Mac OS Х.

После того, как в списке подключений нашли соответствующий пункт (по умолчанию он называется Zyxel), операционная система показывает окно ввода имени пользователя и пароля/ключа, хранящегося в системе RADIUS.

Рисунок 10. Запрос имени пользователя и пароля для входа в беспроводную сеть.

Далее происходит передача сертификата. В OS X об этом свидетельствует окно для подтверждения использования сертификата.

Рисунок 11. Окно проверки сертификата. Дополнительно нажата кнопка «Показать сертификат».

После этого можно работать, например, зайти по адресам, указанным в разделе Полезные ссылки (в конце статьи).

Заключение

Как видим, даже для такого простого примера нам потребовалось довольно много действий. Теперь представьте, что точек в сети довольно много. Позже мы рассмотрим, как можно обеспечить подобную систему аутентификации с меньшими усилиями благодаря облачной систем управления Zyxel Nebula или встроенным аппаратным решениям Zyxel.

Полезные ссылки

  1. Telegram chat Zyxel
  2. Форум по оборудованию Zyxel
  3. Много полезного видео на канале Youtube
  4. Особенности защиты беспроводных и проводных сетей. Часть 1 — Прямые меры защиты
  5. Двухдиапазонная точка доступа 802.11ax (WiFi 6) NWA210AX
  6. Zyxel ONE Network Utility (ZON)
  7. Домашняя страничка проекта FreeRADIUS
  8. Zyxel Nebula
  • Zyxel
  • маршрутизация
  • маршрутизатор
  • межсетевые экраны
  • шлюз
  • router
  • routing
  • switch
  • коммутатор
  • nebula cloud
  • сетевые технологии
  • сетевое администрирование
  • сетевая инфраструктура
  • сетевое оборудование
  • облачные сервисы
  • облачные технологии
  • saas сервисы
  • Блог компании ITT Solutions
  • Системное администрирование
  • Сетевые технологии
  • Облачные сервисы
  • Сетевое оборудование
Похожие публикации:
  1. Lenovo app explorer что это за программа и нужна ли она
  2. Где найти плейлист в вк
  3. Как сменить аккаунт в яндекс go
  4. Что это за сайт такой

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *